본문 바로가기

컴퓨터

중국 해커가 자주 사용하는 8가지 툴과 그 예방책

중국 해커가 자주 사용하는 8가지 도구와 그 예방ㆍ제거방법

여기에 나오는 8가지 도구들은 해킹툴의 대표격인 것들이다.
우리들이 알아야 할 것은 이런 도구들을 어떻게 사용하는가 보다는
이런 도구들에 대한 이해로 해커의 공격 수단을 알아 내고
이를 통하여 해킹을 예방하고 발견될 수 있는 각종 취약점을 보완하는데 있다고 할 수 있겠다.

1. 冰河(빙하)  

빙하는 최고로 훌륭한 중국산 트로이목마 프로그램이자 동시에 가장 많이 사용되는 트로이목마다.
솔직히 말해서 이 프로그램이 상업용 원격제어 프로그램이 되었다면
PCanywhere 라는 크고 복잡한 프로그램보다 훨씬 좋았을 것이다.
그러나 아쉽게도 결국에는 해커가 가장 자주 쓰는 해킹도구로 변하고 말았다.

빙하의 서버(피제어측)와 클라이언트(제어측) 모두 하나의 실행파일이다.
클라이언트 파일의 아이콘은 스위스 군대칼 모양이며
서버 프로그램은 보기엔 별로 크지 않은 하찮은 프로그램 같으나
바로 이 프로그램이 해커가 사용자의 컴퓨터를 장악하는데 충분한 역할을 한다.

어떤 한 컴퓨터에 빙하의 서버 프그램이 실행되면 그 컴퓨터의 7626포트(기본값)을 외부에 개방한다.
클라이언트 프로그램에 감염된 컴퓨터의 IP주소를 입력하기만 하면 바로 감염된 컴퓨터를 제어 할 수 있게 된다.

PC가 네트워크에 접속할 때 IP주소 값이 매번 바뀌기 때문에
빙하 클라이언트 프로그램에 “자동검색”기능이 있어서 감염된 컴퓨터를 자동으로 찾을 수 있다.
일단 클라이언트 프로그램이 감염된 컴퓨터를 찾게 되면 그 컴퓨터는 해커의 손에 떨어 지는 것이다.

예방ㆍ제거방법 : 먼저 불분명한 파일은 실행하지 않는다.
빙하의 경우 서버 프로그램에 감염되어 있지만 않으면 아무 이상 없는데 이는 매우 중요하다.

2. Wnuke

Wnuke Wnuke는 Windows 시스템의 보안 취약점을 이용 할 수 있으며, TCP/IP를 통하여
Remote Machine에 정보를 전송하며 OOB 에러를 일으켜Remote Machine를 망가트린다. 

증상 : 스크린에 “시스템 이상 에러 출현”이라는 파란색 바탕, 하얀 글씨의 메시지가 나타나며
ESC키를 누른 후에 원래대로 돌아 오거나 다운되어 버린다.
Wnuke는 WIN9X, WINNT, WIN2000등의 시스템을 공격 할 수 있으며, 설정을 마음대로 바꿀 수 있다.
연속적인 공격을 통하여 컴퓨터를 다운시켜 버린다.

예방ㆍ제거방법 : 다른 사람의 게시물이나 채팅방에서 다른 사람이 알려주는 URL을 아무 생각 없이 누르지 말아야 하는데
그것이 대부분의 경우 사용자의 IP주소를 알아내는데 쓰이기 때문이다.

NOTEPAD나 기타 편집 도구를 이용하여 아래의 내용으로 OOBFIX.REG라는 파일을 하나 생성한다.

REGEDIT4

[HKEY_LOCAL_MACHINESystemCurrentControlSet ServicesVxDMSTCP]

″BSDUrgent″=″0″

탐색기를 열고 이 파일을 더블클릭하면 방화벽이 설치된다.

3. Shed

Shed는 NetBIOS에 기반하여 Windows를 공격하는 프로그램이다.
NetBIOS(Network Basic Input Output System)는 일종의 API 이며, LAN에 특수한 기능을 덧붙이는 작용을 하며
거의 대부분의 LAN이 NetBIOS를 기반으로 작동하고 있다.
Windows 95, 98, Me 에서 NetBIOS는 TCP/IP와 함께 묶여 있는데 이는 매우 위험하다.
우리가 TCP/IP를 설치할 때 기본값으로 NetBIOS와 그 파일 그리고 프린터의 공유기능이 함께 설치되며 NetBIOS 가 실행될 때 BackDoor가 열리게 된다.
왜냐하면, NetBIOS는 LAN 내의 사용자가 내 컴퓨터에 방문하는 것 뿐만 아니라,
Internet상의 해커가 방문 할 수도 있게 하는데 Shed는 바로 이 점을 이용한다. 

예방ㆍ제거방법 :
‘구성란’에 NetBEUI가 나타났는지 검사한다. 제어판을 열고 “네트워크”항목을 더블 클릭한다.
구성 탭에서 설치되어 있는 네트워크 장치 중 NetBEUI가 있는지 검사한다.
만약 없다면 메뉴 아래쪽의 추가 버튼을 클릭한다. 나타나는 메뉴에서 “프로토콜”을 선택하고
제조사 선택창에서 마이크로소프트사를 선택한다. 선택한 프로토콜메뉴에서 NetBEUI를 선택하고 확인을 클릭한다.
NetBEUI를 설치한다.

“네트워크” 대화창으로 돌아와 “Dial-upAdapter”을 선택한다.
오른쪽 아래의 “속성” 버튼을 클릭한다.
열린 “속성” 대화창에서 “묶음(?)”탭을 선택한다.
“TCP/IP-> Dial-upAdapter” 항목을 제외하고 기타 체크된 다른 항목들은 체크를 취소한다. 

“네트워크” 대화창으로 돌아와 “TCP/IP-> Dial-upAdapter”항목을 클릭하고 오른쪽 아래 “속성” 버튼을 누른다.
경고 메시지를 무시하고 확인 버튼을 누른다.
“TCP/IP 속성” 대화창에서 “묶음(?)”탭을 선택하고 체크되어 있는 모든 항목의 체크를 취소하고 확인 버튼을 누른다.
이 때 “선택된 드라이버가 없습니다. 지금 드라이버를 선택하시겠습니까?” 라는 메시지가 나타나는데 “아니오”를 선택한다.
그 후에 시스템을 다시 시작해야 한다는 메시지가 뜨는데 “확인” 버튼을 클릭한다. 

다시 “TCP/IP-> Dial-upAdapter”의 “TCP/IP속성” 대화창으로 들어 가서 “NetBIOS” 탭을 선택한다.
“TCP/IP를 통하여 NetBIOS 사용” 항목이 사라진 것을 볼 수 있다.
두번 “취소” 버튼을 클릭하여 빠져 나온다.

4. Superscan

Superscan은 강한 기능을 가진 IP 주소 스캐너로서 대만 전지역의 200MS보다 작은 IP 주소를 6시간 정도에 전부 검색할 수 있으며,
 IP주소와 도메인명을 검색할 수 있으며, 네트워크에 연결되어 있는 컴퓨터와 그 포트 번호를 스캔 할 수 있다.
게다가 스캔한 정보를 저장 할 수도 있다. 

예방ㆍ제거방법 : 보안 취약점을 제때에 업그레이드 한다.
마이크로소프트의 그 끊임없는 패치도 쓸모가 있어서 많은 경우에
이런 패치가 취약점을 보충해줘 우리의 컴퓨터를 어느 정도 안전하게 해준다.
비록 패치가 취약점이 나온 뒤에 뒤늦게 나오긴 하지만 소 잃고 외양간 고치는 일도 필요한 일이다.

5. ExeBind

ExeBind는 지정된 해킹툴을 다른 어떤 널리 쓰이는 프로그램에 덧붙여 실행시킬 수 있게 하는 툴이다.
프로그램이 실행 될 때 기생 프로그램(해킹프로그램)도 같이 실행된다.
사용자가 다시 네트워크에 접속할 때 부지불식간에 이미 원격 제어를 당하는 것이다.
실질적으로 파일을 여러 번 나누거나, 상위 프로세스에 여러 번 하위 프로세스로 기생해 실행된다.

증상 : 나타나는 위협적인 증상은 거의 없다.
NetSpy, HDFILL, BO2000등이 이런 방법을 통하여 전파 된다.
만약 어느날 불명확한 사람에게서 좋은 프로그램을 받는 다면 자세히 검사해 보는 것이 좋다.
왜냐하면 ExeBind에 의해 트로이목마 프로그램이 기생해 있을지도 모르기 때문이다.

예방ㆍ제거방법 : 출처가 불명확한 파일은 실행하지 않도록 한다.
와레즈 사이트 같은 믿을 수 없는 사이트에서 파일을 다운로드 하지 않는다.
새로운 프로그램을 실행하기 전에 먼저 신뢰할 수 있는 최신 백신으로 검사를 해본다.
최고로 좋은 방법은 자주 쓰는 프로그램 파일의 크기를 아는 것이다.
만약 파일의 크기가 큰폭으로 변하였다면 즉시 백신으로 검사를 해보아야 한다.

6. 邮箱终结者(E-mail 종결자)

E-mail 종결자는 E-mail 폭탄과 매우 유사하며 원리는 똑같다.
기본 목표는 E-mail 저장상자를 넘치게 해서 사용자로 하여금 정상적으로 사용하지 못하게 하는데 있다.

예방ㆍ제거방법 : 아무 생각 없이 E-mail 주소를 웹 게시판 같은 곳에 남기지말아야 한다.
특히 중요한 E-mail 주소는 주의 해서 관리 해야 하며 아무나 알게 해서는 안된다.
비교적 믿을만한 E-mail 서비스 제공자의 서비스를 이용하고 필터링 기능을 사용한다.
이런 E-mail 폭탄 공격에는 특별한 예방 방법이 없다.

7. 流光(유광)

유광은 중국의 유명 프로그래머 소룡(小榕)의 작품이다.
이 프로그램은 심지어 겨우 마우스만 쓸줄 아는 사람도 순식간에 전문 해커로 변하게 할 수 있을 정도다.
유광은 POP3, FTP, HTTP, PROXY, FORM, SQL, SMTP, IPC$상의 각종 취약점을 찾아낼 수 있으며
각 취약점에 맞는 해킹방법을 설정하여 취약점이 있는 컴퓨터에서 사용자의 PASSWORD를 쉽게 얻을 수 있었다.
유광은 WIN9X, WINNT, WIN2000상의 취약점을 모두 검색할 수 있으며 이는 많은 해커들에게 꼭 필요한 도구가 되게 하였다.
심지어 높은 수준의 해커들 까지도 많이 선호하는 도구이다.  

예방ㆍ제거방법 : 유광은 많은 기능을 함께 가지고 있기 때문에 방비하는 것이 매우 어렵다.
각종 패치를 빼먹지 말고 꼭 하며, 방화벽을 사용해야 한다.
네트워크 설정을 올바르게 하면 악성코드가 못들어 오게 할 수 있다.
만약 네트워크에 익숙하지 않다면 만지지 말고 기본값으로 해놓는 것이 좋다.
만약 네트워크에 익숙하다면 자신에게 맞게 설정을 할 수 도 있다.

8. 溯雪(소설)

소설도 역시 중국의 유명 프로그래머 소룡(小榕)의 작품이다.
소설은 ASP, CGI를 이용하여 무료 이메일, 게시판, 채팅룸등에서 PASSWORD를 찾는 프로그램이다.
PASSWORD는 주로 생일을 이용해 맞추는 방법을 사용하며 성공률은 60%에서 70%정도이다.
소설의 운행 원리는 ASP, CGI 페이지의 소스를 가로채어 에러 표시를 찾아 다시 PASSWORD 사전을 이용하여 E-mail등의 PASSWORD를 찾는 것이다.
대부분의 사용자들이 자신의 생일이나 간단한 영문단어로 비밀 번호를 만들기 때문에 소설을 이용하여 패스워드를 찾는 것은 매우 간단한 일이다.
필자가 자신의 E-mail로 비밀 번호를 숫자로 하였을 때 3분만에 패스워드를 알아 내었다.
필자가 쓴 패스워드 사전이 매우 큰 것이 었는데 만약 크기가 작은 사전을 쓴다면 비밀번호를 알아내는데 걸리는 시간은 더욱 짧아질 것이다.

예방ㆍ제거방법 : 먼저 자신의 E-mail주소나 게시판, 채팅방의 아이디를 쉽게 노출 시키지 말아야 한다.
다음으로 비밀번호를 좀더 복잡하게 설정하고 순수하게 숫자로만 이루어진 비밀번호를 설정한다든지 영문으로만 한다든지
또, 7자리 밑으로 설정한다든지 하는 것은 매우 위험한 일이다.
또한 비밀번호를 자주 바꾸어 주는 것이 좋으며 각 사이트나 아이디 마다 비밀 번호를 다르게 설정해 주는 것도 좋은 방법이다.
비밀번호가 각가 다르면 하나가 뚤리 더라도 다른 사이트까지 피해를 보지는 않게 된다.